GOVERNANCE E SISTEMA DI CONTROLLO INTERNO 2017 Antonio

  • Slides: 73
Download presentation
GOVERNANCE E SISTEMA DI CONTROLLO INTERNO 2017 Antonio. Taverna 1

GOVERNANCE E SISTEMA DI CONTROLLO INTERNO 2017 Antonio. Taverna 1

Due diligence • NON SOLO ELEMENTI QUANTITATIVI ma SONO RILEVANT ANCHEI GLI ASPETTI QUALITATIVI

Due diligence • NON SOLO ELEMENTI QUANTITATIVI ma SONO RILEVANT ANCHEI GLI ASPETTI QUALITATIVI 2

Due Diligence • NON SOLO NUMERI 3

Due Diligence • NON SOLO NUMERI 3

Contrassegno per slide utili per il corso CORPORATE GOVERNANCE AT 4

Contrassegno per slide utili per il corso CORPORATE GOVERNANCE AT 4

Obiettivo dell’impresa è produrre profitti duraturi nel lungo periodo, nel rispetto delle politiche di

Obiettivo dell’impresa è produrre profitti duraturi nel lungo periodo, nel rispetto delle politiche di rischio AT 5

DEFINIZIONE OCSE (1999) Corporate Governance involves a set of relationships between a company’s management,

DEFINIZIONE OCSE (1999) Corporate Governance involves a set of relationships between a company’s management, its board, its shareholders and other stakeholders. Corporate Governance also provides the structure through which the objectives of the company are set, and the means of attaining those objectives, and monitoring performance are determinated. AT 6

CORPORATE GOVERNANCE GESTIONE INFORMATIVA ESTERNA CONTROLLO ACCOUNTABILITY VALORI INTEGRITA’ E TRASPARENZA AT 7

CORPORATE GOVERNANCE GESTIONE INFORMATIVA ESTERNA CONTROLLO ACCOUNTABILITY VALORI INTEGRITA’ E TRASPARENZA AT 7

CONTROLLO INTERNO GRADAZIONE DELLE NORME norme primarie, emanate dal legislatore; norme secondarie, emanate dalle

CONTROLLO INTERNO GRADAZIONE DELLE NORME norme primarie, emanate dal legislatore; norme secondarie, emanate dalle autorità tutorie; norme di autoregolamentazione, statuite nei codici di comportamento delle professioni e dai gestori dei mercati; norme autonome, statuite negli statuti societarie. AT 8

FONTI NORMATIVE DIRETTIVE EU DIRITTO SOCIETARIO TUF (LEGGI DRAGHI/LEGGE RISPARMIO) CODICE DI AUTODISCIPLINA DELLA

FONTI NORMATIVE DIRETTIVE EU DIRITTO SOCIETARIO TUF (LEGGI DRAGHI/LEGGE RISPARMIO) CODICE DI AUTODISCIPLINA DELLA BORSA IFRS STATUTO AT 9

STATUTO LO STATUTO E’ LO STRUMENTO DOVE LA SOCIETA’ COSTRUISCE LA SUA GOVERNANCE, UTILIZZANDO

STATUTO LO STATUTO E’ LO STRUMENTO DOVE LA SOCIETA’ COSTRUISCE LA SUA GOVERNANCE, UTILIZZANDO L’AUTONOMIA CHE LA NORMA PERMETTE. IN ESSO DEVONO RIFLETTERSI I VALORI DI TRASPARENZA E INTEGRITA’ ELEMENTI POSITIVI RIFERIMENTI ALLA BEST PRACTICE TRASPARENZA PROMOZIONE ACCOUNTABILITY CONTROLLO INDIPENDENTE, TEMPO DEDICATO, NON SOLO……………. PRESTIGIO ELEMENTI NEGATIVI APPROCCIO MINIMALE RIMANDI ALLE NORME AUTOREFERENZIALITA’ AT 10

LA CORPORATE GOVERNANCE E’ CONDIZIONATA DAGLI ASSETTI PROPPRIETARI - SOCIETA’ APERTE - A LARGA

LA CORPORATE GOVERNANCE E’ CONDIZIONATA DAGLI ASSETTI PROPPRIETARI - SOCIETA’ APERTE - A LARGA BASE AZIONARIA CHE SONO DOMINATE DAL MANAGEMENT E DA ALCUNI MEMBRI DEL BOARD - CONTENDIBILE SOCIETA’ CHIUSE MAGGIORANZA CONCENTRATA IN UN’AZIONISTA, FAMIGLIA – STABILE SOCIETA’ SEMI-APERTE MAGGIORANZA CONCENTRATA IN POCHI AZIONISTI (PATTI DI SINDACATO) – DIFFICILMENTE CONTENDIBILE LE SOCIETA’ CHIUSE E SEMI-APERTE HANNO NORMALMENTE Cd. A “RAPPRESENTATIVI” DEI MAGGIORI AZIONISTI AT 11

MARKET FOR CONTROL OPERAZIONI E ATTORI TAKE-OVER POISON PILLS BREAK-UP OPA Sindacati di controllo

MARKET FOR CONTROL OPERAZIONI E ATTORI TAKE-OVER POISON PILLS BREAK-UP OPA Sindacati di controllo e voto Investitori Istituzionali Minoranze AT 12

RISCHI OPERATIVI E CONTROLLO INTERNO I MODELLI DEL DIRITTO SOCIETARIO TRADIZIONALE Cd. A Collegio

RISCHI OPERATIVI E CONTROLLO INTERNO I MODELLI DEL DIRITTO SOCIETARIO TRADIZIONALE Cd. A Collegio Sindacale MONISTICO Consiglio di Gestione Comitato di Controllo DUALISTICO Comitato di gestione Consiglio di Sorveglianza AT 13

FINANCIAL RISK MANAGEMENT GOVERNANCE GESTIONE AMMINISTRATORE DELEGATO CONTROLLO AMMIMISTRATORI NON ESECUTIVI INDIPENDENTI COMITATO ESECUTIVO

FINANCIAL RISK MANAGEMENT GOVERNANCE GESTIONE AMMINISTRATORE DELEGATO CONTROLLO AMMIMISTRATORI NON ESECUTIVI INDIPENDENTI COMITATO ESECUTIVO MANAGEMENT INFORMAZIONE AD/CFO/PREPOSTO (INTERNO) SOCIETA’ DI REVISIONE SINDACI (INDIPENDENTE) MEMBRI INDIPENDENTI CONSIGLIO DI SORVEGLIANZA ORGANIZZAZIONE –CONTROLLO INTERNO AT 14

CONFLITTI DI INTERESSE NELL’INDUSTRIA FINANZIARIA Nello specifico dei servizi finanziari esiste un altro argomento

CONFLITTI DI INTERESSE NELL’INDUSTRIA FINANZIARIA Nello specifico dei servizi finanziari esiste un altro argomento dibattuto: la presenza di imprenditori industriali o di amministratori di società concorrenti ai sensi dell’art. 2390 cc. Una presenza, che può portare validi contributi alla gestione sociale, non dovrebbe comunque contemplare ruoli esecutivi: ciò ridurrebbe le opportunità di conflitto di interesse. COMITATO PARTI CORRELATE AT 15

ORGANIZZAZIONE LA STRUTTURA ORGANIZZATIVA E’ IL SUPPORTO NECESSARIO A PROMUOVERE L’EFFETTIVA ACCOUNTABILITY DI TUTTI

ORGANIZZAZIONE LA STRUTTURA ORGANIZZATIVA E’ IL SUPPORTO NECESSARIO A PROMUOVERE L’EFFETTIVA ACCOUNTABILITY DI TUTTI I LIVELLI PROFESSIONALI CHE VI OPERANO. LA RESPONSABILITA’ PER UN’ORGANIZZAZIONE EFFICACE COMPETE INNANZITUTTO AI VERTICI AZIENDALI Cd. A E AMMINISTRATORE DELEGATO, IN PRIMO LUOGO. FONDAMENTALE E’ L’INDIVIDUAZIONE DELLA BEST PRACTICE PER L’ARCHITETTURA DEI SISTEMI DI CONTROLLO INTERNO, RISK MANAGEMENT E COMPLIANCE AT 16

ORGANIZZAZIONE (continua) AUTOREFERENZIALITA’ TRA LE TANTE CRITICITA’ DELLA CORPORATE GOVERNANCE IL SUPERAMENTO DEL RISCHIO

ORGANIZZAZIONE (continua) AUTOREFERENZIALITA’ TRA LE TANTE CRITICITA’ DELLA CORPORATE GOVERNANCE IL SUPERAMENTO DEL RISCHIO DI AUTOREFERENZIALITA’ RAPPRESENTA UN OBIETTIVO PRIMARIO. LA PRESENZA DI FUNZIONI INDIPENDENTI DAL MANAGEMENT DOVREBBE LIMITARE SE NON EVITARE DETTO RISCHIO AT 17

FINANACIAL RISK MANAGEMENT TANTI RUOLI AMMINISTRATORE DELEGATO PREPOSTO AL CONTROLLO INTERNO PREPOSTO ALLA REDAZIONE

FINANACIAL RISK MANAGEMENT TANTI RUOLI AMMINISTRATORE DELEGATO PREPOSTO AL CONTROLLO INTERNO PREPOSTO ALLA REDAZIONE DEI DOCUMENTI CONTABILI CONSIGLIO DI AMMINISTRAZIONE (ESECUTIVI) ORGANO DI CONTROLLO (SINDACI O…) COMITATO DI CONTROLLO (CODICE BORSA) ORGANO DI VIGILANZA (DLGS. 231) ………………. . SOCIETA’ DI REVISIONE RESPONSABILE DEL CONTROLLO INTERNO FINANCIAL RISK OFFICER COMPLIANCE OFFICER AT 18

Composizione e formazione del board Un giusto bilanciamento delle competenze con rappresentanze di: G

Composizione e formazione del board Un giusto bilanciamento delle competenze con rappresentanze di: G e estori enerazioni eografie Programma di Board induction Periodica Autovalutazione AT 19

CONTROLLO INTERNO E RISK MANAGEMENT AT 20

CONTROLLO INTERNO E RISK MANAGEMENT AT 20

RISK MANAGEMENT LA VIGILANZA INTERNA SI CONCRETA ATTRAVERSO I SISTEMI DI CONTROLLO AZIENDALI MIS-

RISK MANAGEMENT LA VIGILANZA INTERNA SI CONCRETA ATTRAVERSO I SISTEMI DI CONTROLLO AZIENDALI MIS- CONTROLLO DI GESTIONE MANAGEMENT CONTROLLO INTERNO MANAGEMENT E ORGANI DI CONTROLLO RISK MANAGEMENT E ORGANI DI CONTROLLO COMPLIANCE AT 21

RISK MANAGEMENT CONTROLLO INTERNO RISK MANAGEMENT TURNBALL CODE CODICE DI AUTODISCIPLINA DI LSE (COMBINED

RISK MANAGEMENT CONTROLLO INTERNO RISK MANAGEMENT TURNBALL CODE CODICE DI AUTODISCIPLINA DI LSE (COMBINED CODE) “We can assume that a company has effective internal controls if it has a rigorous corporate risk management system”. AT 22

RISK MANAGEMENT LA BEST PRACTICE PER POTER ESPRIMERE UNA VALUTAZIONE DI AFFIDABILITA’, CORRETTEZZA, ATTENDIBILITA’

RISK MANAGEMENT LA BEST PRACTICE PER POTER ESPRIMERE UNA VALUTAZIONE DI AFFIDABILITA’, CORRETTEZZA, ATTENDIBILITA’ SONO NECESSARI PRINCIPI/MODELLI DI RIFERIMENTO DI GENERALE ACCETTAZIONE PER IL BILANCIO PER L’ AUDIT PER IL CONTROLLO INTERNO/ RISK MANAGEMENT I GAAP/IFRS GLI STANDARD DI REVISIONE (ISA) REGOLAMENTO 231 ? AT 23

FINANCIAL RISK MANAGEMENT LA BEST PRACTICE ………… GLI STANDARD DI AUDIT GAAS (GENERAL ACCEPTED

FINANCIAL RISK MANAGEMENT LA BEST PRACTICE ………… GLI STANDARD DI AUDIT GAAS (GENERAL ACCEPTED AUDITING STANDARD), IN ITALIA, PRINCIPI DI REVISIONE DI CNDC E CONSIGLIO RAGIONIERI STATUISCONO. DAI BILANCI 2016 ISA UN PRINCIPIO GENERALE CHE PREVEDE LO STUDIO E LA VALUTAZIONE DEL SISTEMA DI CONTROLLO INTERNO PROCEDURE (NON ESAUSTIVE) DI CONTROLLO CONTABILE AMMINISTRATIVE RELATIVAMENTE A AREE/CICLI AT 24

FINANCIAL RISK MANAGEMENT I DRIVER DELL’ARCHITETTURA DEL SISTEMA DI CONTROLLO INTERNO (COSO 1994) RISCHIO

FINANCIAL RISK MANAGEMENT I DRIVER DELL’ARCHITETTURA DEL SISTEMA DI CONTROLLO INTERNO (COSO 1994) RISCHIO CONTROLLO Tutte le aziende devono affrontare eventi incerti e la sfida del Management è di determinare il quantum di incertezza accettabile per creare valore. L’incertezza rappresenta sia un rischio che un’opportunità e può potenzialmente ridurre o accrescere il valore dell’azienda. In senso lato il controllo è un processo (svolto dal consiglio di amministrazione, da dirigenti e da altri soggetti della struttura aziendale) finalizzato a fornire una ragionevole sicurezza sul conseguimento degli obiettivi rientranti nelle seguenti categorie: - efficacia ed efficienza delle attività operative - attendibilità delle informazioni di bilancio - conformità alle leggi e ai regolamenti in vigore 25 AT

FINANCIAL RISK MANAGEMENT EVENTI EFFETTI POSITIVI NEGATIVI O GLI UNI O GLI ALTRI RISCHIO

FINANCIAL RISK MANAGEMENT EVENTI EFFETTI POSITIVI NEGATIVI O GLI UNI O GLI ALTRI RISCHIO “ possibilità che un evento accada e influisca in senso negativo sul conseguimento degli obiettivi. ” AT 26

RISK MANAGEMENT ENTERPRISE RISK MANAGEMENT – ERM 2002 …. . è un processo, posto

RISK MANAGEMENT ENTERPRISE RISK MANAGEMENT – ERM 2002 …. . è un processo, posto in essere dal consiglio di amministrazione, dal management e da altri operatori della struttura aziendale; utilizzato per la formulazione delle strategie in tutta l’organizzazione; progettato per individuare eventi potenziali che possono influire sull’attività aziendale, per gestire il rischio entro i limiti del Rischio Accettabile e per fornire una ragionevole sicurezza sul conseguimento degli obiettivi aziendali. ” RISCHIO ACCETTABILE AT 27

RISK MANAGEMENT RISCHIO ACCETTABILE rappresenta la misura del rischio che un’impresa è disposta ad

RISK MANAGEMENT RISCHIO ACCETTABILE rappresenta la misura del rischio che un’impresa è disposta ad accettare nel processo di creazione di valore. varia da impresa ed é strettamente connotato dalla filosofia di assunzione dei rischi. BASSO – MEDIO - ALTO AT 28

RISK MANAGEMENT Co. SO I ERM 29 AT

RISK MANAGEMENT Co. SO I ERM 29 AT

RISCHI OPERATIVI E CONTROLLO INTERNO GLI OBIETTIVI DI ERM - STRATEGICI LE AZIONI DEVONO

RISCHI OPERATIVI E CONTROLLO INTERNO GLI OBIETTIVI DI ERM - STRATEGICI LE AZIONI DEVONO ESSERE COERENTI CON IL CONSEGUIMENTO DELLA STRATEGIA AZIENDALE - OPERATIVI LE OPERAZIONI DEVONO ESSERE IMPRONTATE A PERSEGUIRE RISULTATI EFFICACI ED EFFICIENTI - REPORTING LE INFORMAZIONI INTERNE ED ESTERNE DEVONO ESSERE ATTENDIBILI E TRASPARENTI - CONFORMITA’ (COMPLIANCE) LE ATTIVITA’ AZIENDALI DEVONO ESSERE SVOLTE NEL RISPETTO DELLA NORMATIVA VIGENTE E DELLO STATUTO SOCIETARIO 30 AT

RISCHI OPERATIVI E CONTROLLO INTERNO Gli obiettivi di performance di ERM Ø l’allineamento della

RISCHI OPERATIVI E CONTROLLO INTERNO Gli obiettivi di performance di ERM Ø l’allineamento della strategia al rischio accettabile - Il management stabilisce il livello di rischio accettabile per valutare le alternative strategiche, fissare i corrispondenti obiettivi e sviluppare i meccanismi per gestire i rischi che ne derivano Ø il miglioramento della risposta al rischio individuato - L’ERM fornisce una metodologia rigorosa per identificare e selezionare tra più risposte alternative al rischio quella più adeguata (evitare, ridurre, compartecipare, accettare il rischio) Ø la riduzione degli imprevisti e delle perdite conseguenti - Le aziende, accrescendo la loro capacità di identificare eventi potenziali, di valutare i relativi rischi e di formulare risposte adeguate, riducono la frequenza degli imprevisti come pure i costi e le perdite conseguenti 31 AT

RISK MANAGEMENT GLI ELEMENTI DEL CONTROLLO INTERNO L'ambiente di controllo determina il clima nel

RISK MANAGEMENT GLI ELEMENTI DEL CONTROLLO INTERNO L'ambiente di controllo determina il clima nel quale le persone svolgono la loro attività e le proprie funzioni di controllo. Esso costituisce le fondamenta degli altri componenti. In questo ambiente, il management valuta i rischi per la realizzazione degli obiettivi stabiliti. Le attività di controllo sono attuate per assicurare che le direttive del management necessarie per fronteggiare i rischi siano attuate. Le relative informazioni vengono raccolte e comunicate a tutta l'organizzazione. L'intero processo è monitorato e subisce le modifiche richieste se del caso. 32 AT

RISK MANAGEMENT Il framework di risk management Esiste un rapporto diretto tra gli obiettivi,

RISK MANAGEMENT Il framework di risk management Esiste un rapporto diretto tra gli obiettivi, ossia ciò che un'azienda persegue, e i componenti, ossia ciò che occorre per realizzarli. Le informazioni sono necessarie per tutte e tre le categorie di obiettivi, al fine di assicurare una gestione efficace, bilanci attendibili e la conformità alle leggi e ai regolamenti. ll controllo interno si applica all'azienda considerata nel suo complesso oppure ad una qualunque delle sue unità o processi. Tutti e cinque i componenti sono applicabili e importanti per la realizzazione degli obiettivi operativi. 33 AT

RISK MANAGEMENT Ambiente interno Il management formula la filosofia di base dell’ERM e determina

RISK MANAGEMENT Ambiente interno Il management formula la filosofia di base dell’ERM e determina il livello di accettabilità del rischio. L’ambiente interno determina, in termini generali, i modi in cui il rischio è considerato e affrontato dalle persone che operano in azienda. Gli individui, le loro qualità personali, e soprattutto la loro integrità, i loro valori etici e la loro competenza e l’ambiente nel quale operano costituiscono l’essenza stessa di qualsiasi organizzazione AT 34

RISK MANAGEMENT LE ENFASI: CARTA DEI VALORI – RESPONSABILITA’ SOCIALE – SOSTENIBILITA’ SHAREHOLDERS VALUE

RISK MANAGEMENT LE ENFASI: CARTA DEI VALORI – RESPONSABILITA’ SOCIALE – SOSTENIBILITA’ SHAREHOLDERS VALUE E STAKEHOLDERS VALUE IL CODICE ETICO, NORME DI COMPORTAMENTO A CUI L’IMPRESA SI ISPIRA SONO PARTE INTEGRANTE ED ESSENZIALE DEL SISTEMA DI CONTROLLO INTERNO AT 35

RISK MANAGEMENT Definizione degli obiettivi – Gli obiettivi devono essere fissati prima di procedere

RISK MANAGEMENT Definizione degli obiettivi – Gli obiettivi devono essere fissati prima di procedere all’identificazione degli eventi che possono pregiudicare il loro conseguimento. L’ERM assicura che il management abbia attivato un adeguato processo di definizione degli obiettivi e che gli obiettivi scelti supportino e siano coerenti con la missione Aziendale e siano in linea con i livelli di rischio accettabile AT 36

RISK MANAGEMENT Identificazione degli eventi Gli eventi potenziali che possono avere un impatto sull’attività

RISK MANAGEMENT Identificazione degli eventi Gli eventi potenziali che possono avere un impatto sull’attività aziendale devono essere identificati. L’identificazione degli eventi comporta la rilevazione di fatti potenziali di origine interna e esterna che possono pregiudicare il conseguimento degli obiettivi. Inoltre, è necessario distinguere gli eventi che rappresentano rischi da quelli che rappresentano opportunità, e da quelli che sono un misto dei due. Le opportunità devono essere valutate riconsiderando la strategia definita in precedenza o il processo di formulazione degli obiettivi in atto AT 37

RISK MANAGEMENT COME IDENTIFICARE GLI EVENTI CATALOGO ANALISI INTERNE SEGNALATORI DI CRITICITA’ WORKSHOP E

RISK MANAGEMENT COME IDENTIFICARE GLI EVENTI CATALOGO ANALISI INTERNE SEGNALATORI DI CRITICITA’ WORKSHOP E INTERVISTE ANALISI DEL FLUSSO DI PROCESSO INDICATORI DI EVENTI AT 38

RISK MANAGEMENT CATEGORIE DI EVENTI FATTORI ESTERNI FATTORI INTERNI ECONOMICI AMBIENTALI POLITICI SOCIALI TECNOLOGICI

RISK MANAGEMENT CATEGORIE DI EVENTI FATTORI ESTERNI FATTORI INTERNI ECONOMICI AMBIENTALI POLITICI SOCIALI TECNOLOGICI INFRASTRUTTURE PERSONALE PROCESSO TECNOLOGIE AT 39

RISK MANAGEMENT Valutazione del rischio L’incertezza degli eventi potenziali è valutata da due prospettive:

RISK MANAGEMENT Valutazione del rischio L’incertezza degli eventi potenziali è valutata da due prospettive: probabilità e impatto. La probabilità è definita come la possibilità che un evento accada, mentre l’impatto rappresenta il suo effetto (economico e non) AT 40

RISK MANAGEMENT VALUTAZIONE DEL RISCHIO (RISK ASSESSMENT) LE SOCIETA’ DEVONO FRONTEGGIARE UNA SERIE DI

RISK MANAGEMENT VALUTAZIONE DEL RISCHIO (RISK ASSESSMENT) LE SOCIETA’ DEVONO FRONTEGGIARE UNA SERIE DI RISCHI INTERNI ED ESTERNI. ESSI SONO CONNESSI AGLI OBIETTIVI CHE SI TENDONO RAGGIUNGERE. IL RISK ASSESSMENT E’ L’IDENTIFICAZIONE E L’ANALISI DEI RISCHI CHE SONO RILEVANTI RISPETTO AL RAGGIUNGIMENTO DEGLI OBIETTIVI, BASE FONDAMENTALE PER LA GESTIONE DEGLI STESSI RISCHI AT 41

RISK MANAGEMENT STRUMENTI DI VALUTAZIONE DEGLI EVENTI/RISCHI BENCHMARKING MODELLI PROBABILISTICI MODELLI NON PROBABILISTICI AT

RISK MANAGEMENT STRUMENTI DI VALUTAZIONE DEGLI EVENTI/RISCHI BENCHMARKING MODELLI PROBABILISTICI MODELLI NON PROBABILISTICI AT 42

RISK MANAGEMENT Risposta al rischio I RISCHI INDIVIDUATI VANNO GESTITI SULLA BASE DEL PROFILO

RISK MANAGEMENT Risposta al rischio I RISCHI INDIVIDUATI VANNO GESTITI SULLA BASE DEL PROFILO DI RISCHIO DELL’IMPRESA DEFINITO DALLA SUA ALTA DIREZIONE AT 43

RISK MANAGEMENT L’IMPRESA PUO’ APPLICARE STRATEGIE DI RISPOSTA VOLTE A…. evitare (risk avoidance), trasferire

RISK MANAGEMENT L’IMPRESA PUO’ APPLICARE STRATEGIE DI RISPOSTA VOLTE A…. evitare (risk avoidance), trasferire (risk transfer), ritenere (risk retention) condividire (risk sharing) ridurre (risk reduction), ……. I RISCHI INDIVIDUATI AT 44

RISK MANAGEMENT Attività di controllo – Devono essere definite e realizzate politiche e procedure

RISK MANAGEMENT Attività di controllo – Devono essere definite e realizzate politiche e procedure per assicurare che le risposte al rischio siano efficacemente eseguite AT 45

RISK MANAGEMENT PRINCIPI GUIDA PER DISEGNARE IL CONTROLLO ACCOUNTABILITY INDIVIDUALE, SEPARAZIONE DEI COMPITI –

RISK MANAGEMENT PRINCIPI GUIDA PER DISEGNARE IL CONTROLLO ACCOUNTABILITY INDIVIDUALE, SEPARAZIONE DEI COMPITI – SUPERVISIONE AUTOREFERENZIALITA’ SIGNIFICATIVITA’ (materialità) 46 AT

RISK MANAGEMENT LE REGOLE CARDINE DEL CONTROLLO ACCURATEZZA LE OPERAZIONI DEVONO ESSERE SVOLTE E

RISK MANAGEMENT LE REGOLE CARDINE DEL CONTROLLO ACCURATEZZA LE OPERAZIONI DEVONO ESSERE SVOLTE E (MONITORATE CON ACCURATEZZA) COMPLETEZZA TUTTE LE OPERAZIONI DEVONO ESSERE RILEVATE E (MONITORATE) VALIDITA’ SOLO LE OPERAZIONI APPROVATE DEVONO ESSERE ACCETTATE INOLTRE………. AT 47

RISK MANAGEMENT LE REGOLE CARDINE DEL CONTROLLO (segue) CONTROLLABILITA’ LE OPERAZIONI DEVONO ESSERE CONTROLLABILE

RISK MANAGEMENT LE REGOLE CARDINE DEL CONTROLLO (segue) CONTROLLABILITA’ LE OPERAZIONI DEVONO ESSERE CONTROLLABILE E QUINDI DOCUMENTATE. UN PRINCIPIO FONDAMENTALE DEL CONTROLLO DICE CHE IN MANCANZA DI EVIDENZE IL CONTROLLO SI INTENDE NON ESEGUITO TEMPESTIVITA’ LE OPERAZIONI DEVONO ESSERE RILEVATE TEMPESTIVAMENTE AT 48

RISK MANAGEMENT MODALITA’ E STRUMENTI PER IL CONTROLLO ANALISI DELL’ALTA DIREZIONE, GESTIONE DIRETTA DI

RISK MANAGEMENT MODALITA’ E STRUMENTI PER IL CONTROLLO ANALISI DELL’ALTA DIREZIONE, GESTIONE DIRETTA DI ATTIVITA’ E FUNZIONI, PROCESSI INFORMATIVI, CONTROLLO FISICO, INDICATORI DI PERFORMANCE, SEPARAZIONE DEI COMPITI, GESTIONE IT AT 49

RISK MANAGEMENT GESTIONE IT Infrastruttura Gestione sicurezza Acquisizione, sviluppo e manutenzione software Controllo di

RISK MANAGEMENT GESTIONE IT Infrastruttura Gestione sicurezza Acquisizione, sviluppo e manutenzione software Controllo di quadratura Check digit Dati predefiniti Ragionevolezza dati Test logici AT 50

RISK MANAGEMENT Informazioni e comunicazioni Le informazioni pertinenti devono essere identificate, raccolte e diffuse

RISK MANAGEMENT Informazioni e comunicazioni Le informazioni pertinenti devono essere identificate, raccolte e diffuse nella forma e nei tempi che consentano alle persone di adempiere correttamente le proprie responsabilità. Le informazioni sono necessarie a ogni livello della struttura gerarchica al fine di identificare e valutare il rischio e di darne una risposta. Si devono attivare comunicazioni efficaci in modo che queste fluiscano per l’intera struttura organizzativa: verso il basso, verso l’alto e trasversalmente. Il personale deve ricevere comunicazioni chiare sul ruolo e sulle responsabilità che gli sono stati assegnati. AT 51

RISK MANAGEMENT Monitoraggio L’intero processo dell’ERM deve essere monitorato e modificato ove necessario. In

RISK MANAGEMENT Monitoraggio L’intero processo dell’ERM deve essere monitorato e modificato ove necessario. In tal modo, si attivano reazioni rapide, in funzione dei cambiamenti che si verificano nel contesto operativo aziendale. Il monitoraggio si concretizza in interventi continui, integrati nella normale attività operativa aziendale, in valutazioni, oppure in una combinazione dei due metodi. AT 52

RISK MANAGEMENT Ruoli e responsabilità In un’organizzazione tutto il personale è responsabile del controllo

RISK MANAGEMENT Ruoli e responsabilità In un’organizzazione tutto il personale è responsabile del controllo interno. IL MANAGEMENT. La responsabilità ultima del sistema di controllo interno è del CEO (AD) che se ne assume la “paternità”. Più di ogni altra persona, deve dare il buon esempio in materia di integrità e di etica e di altri elementi che contribuiscono a creare un ambiente favorevole al controllo. In una grande azienda, il CEO assolve questo compito fungendo da guida e da orientamento agli alti dirigenti, supervisionando il modo in cui essi esercitano il controllo delle attività. 53 AT

RISK MANAGEMENT Segue Ruoli e responsabilità IL CONSIGLIO DI AMMINISTRAZIONE. Il management deve dar

RISK MANAGEMENT Segue Ruoli e responsabilità IL CONSIGLIO DI AMMINISTRAZIONE. Il management deve dar conto della sua attività al consiglio di amministrazione, che svolge un ruolo di indirizzo, di guida e di supervisione. Gli amministratori efficaci sono obiettivi, competenti e curiosi. Essi devono conoscere le attività e l’ambiente dell’azienda e dedicare il tempo necessario per l’adempimento delle loro responsabilità. Il management è in grado di eludere i controlli e di occultare o insabbiare le comunicazioni provenienti dai subordinati, fornendo intenzionalmente risultati fuorvianti o falsi per mimetizzare i propri abusi. Un consiglio forte e attivo, meglio ancora se affiancato da efficaci canali di comunicazione verso l’alto e da competenti funzionari di revisione interna, legali e amministrative, è spesso nelle migliori condizioni per individuare ed eliminare le problematiche summenzionate. 54 AT

RISK MANAGEMENT Segue Ruoli e responsabilità ALTRO PERSONALE. In un’organizzazione, il controllo interno, è

RISK MANAGEMENT Segue Ruoli e responsabilità ALTRO PERSONALE. In un’organizzazione, il controllo interno, è in una certa misura, di competenza di tutto il personale e pertanto dovrebbe costituire parte esplicita o implicita della descrizione delle mansioni di ciascun dipendente. Virtualmente, tutti i dipendenti producono informazioni utilizzate nel sistema di controllo interno o compiono altri interventi necessari per assicurare il controllo. Tutto il personale dovrebbe pertanto essere responsabile di informare il proprio superiore gerarchico di eventuali problemi operativi, dell’inosservanza del codice di comportamento, di tutte le violazioni delle politiche aziendali e di atti illeciti. 55 AT

RISK MANAGEMENT Segue Ruoli e responsabilità I REVISORI INTERNI. I revisori interni svolgono un

RISK MANAGEMENT Segue Ruoli e responsabilità I REVISORI INTERNI. I revisori interni svolgono un ruolo importante nel valutare l’efficacia dei sistemi di controllo interno, contribuendo a renderli efficaci in via continuativa e durevole. Per la loro collocazione organizzativa e per l’autorità di cui sono investiti, i revisori interni svolgono spesso anche un importante ruolo di monitoraggio del sistema di controllo interno. 56 AT

RISK MANAGEMENT IL CONTROLLO INTERNO NELE BANCHE E SGR Livelli di controllo: Primo, Secondo

RISK MANAGEMENT IL CONTROLLO INTERNO NELE BANCHE E SGR Livelli di controllo: Primo, Secondo e Terzo Rischi e Compliance Reclami, Riciclaggio, Wistleblowing Report all’Autorità per Internal Auditing, Risk Management e Compliance Anche l’outsourcer è soggetto a vigilanza AT 57

RISK MANAGEMENT AUDITING 58 AT

RISK MANAGEMENT AUDITING 58 AT

RISK MANAGEMENT DIVERSI PROFILI DI AUDITING INTERNO ESTERNO (SOCIETA’ DI REVISIONE) DI VIGILANZA 59

RISK MANAGEMENT DIVERSI PROFILI DI AUDITING INTERNO ESTERNO (SOCIETA’ DI REVISIONE) DI VIGILANZA 59 AT

RISK MANAGEMENT LA FUNZIONE DI INTERNAL AUDITING PROFESSIONALITA’ ATTIVITA’ SOGGETTE A VERIFICA FINALITA’ METODOLOGIE

RISK MANAGEMENT LA FUNZIONE DI INTERNAL AUDITING PROFESSIONALITA’ ATTIVITA’ SOGGETTE A VERIFICA FINALITA’ METODOLOGIE REPORTING VALIDAZIONI 60 AT

RISK MANAGEMENT METODOLOGIE DI AUDITING PROGRAMMA DI LAVORO BASATO SU STANDARD CHE PREVEDE PROCEDURE

RISK MANAGEMENT METODOLOGIE DI AUDITING PROGRAMMA DI LAVORO BASATO SU STANDARD CHE PREVEDE PROCEDURE DIVERSE IN NATURA E AMPIEZZA SCELTE IN RELAZIONE ALLA NATURA DELL’OGGETTO DELLE VERIFICHE E ALLE FINALITA’. ispezioni; osservazioni; richieste di informazioni e conferme verifica dei calcoli e testing, procedure di analisi comparativa BASE CAMPIONARIA CON SELEZIONE STATISTICA O RAGIONATA 61 AT

RISK MANAGEMENT METODOLOGIE DI AUDITING Ispezione E’ l’esame delle registrazioni, della documentazione di supporto

RISK MANAGEMENT METODOLOGIE DI AUDITING Ispezione E’ l’esame delle registrazioni, della documentazione di supporto o delle attività tangibili. L’ispezione è finalizzata ad accertare l’esistenza fisica delle attività tangibili che la banca detiene, e ad acquisire la necessaria conoscenza dei termini e delle condizioni contrattuali utili per valutare la correttezza del loro trattamento amministrativo e contabile 62 AT

RISK MANAGEMENT METODOLOGIE DI AUDITING Osservazioni Affiancamento agli operatori, principalmente di front-office, al fine

RISK MANAGEMENT METODOLOGIE DI AUDITING Osservazioni Affiancamento agli operatori, principalmente di front-office, al fine di verificare la correttezza del loro svolgimento, e Valutare il profilo comportamentale dell’operatore. 63 AT

RISK MANAGEMENT METODOLOGIE DI AUDITING Richieste di informazioni e conferme Si intende l’acquisizione di

RISK MANAGEMENT METODOLOGIE DI AUDITING Richieste di informazioni e conferme Si intende l’acquisizione di notizie fornite da idonei soggetti interni o esterni alla banca. 64 AT

RISK MANAGEMENT METODOLOGIE DI AUDITING Verifiche dei calcoli Si intende la verifica della correttezza

RISK MANAGEMENT METODOLOGIE DI AUDITING Verifiche dei calcoli Si intende la verifica della correttezza aritmetica delle fonti documentali e delle registrazioni contabili o lo svolgimento di autonome procedure di calcolo. 65 AT

RISK MANAGEMENT METODOLOGIE DI AUDITING Procedure di analisi comparativa Consistono nell’analisi di indici e

RISK MANAGEMENT METODOLOGIE DI AUDITING Procedure di analisi comparativa Consistono nell’analisi di indici e trend significativi, e nell’esame delle relative fluttuazioni e correlazioni che non siano coerenti con altre informazioni acquisite o si discostino dai valori attesi. 66 AT

RISK MANAGEMENT METODOLOGIE DI AUDITING PEERS REVIEW E’ UN’ANILSI COMPARATIVA CON LE PERFORMANCE DI

RISK MANAGEMENT METODOLOGIE DI AUDITING PEERS REVIEW E’ UN’ANILSI COMPARATIVA CON LE PERFORMANCE DI COMPETITORS PRENDE IN CONSIDERAZIONE LE INFORMAZIONI DI BILANCIO (PRINCIPALMENTE KPI – KEY PERFORMANCE INDICATORS) E I DATI STATITISTICI FORNITI DAL SISTEMA (Banca d’Italia ABI) E’ UN’ANALISI NORMALMENTE SVOLTA PER MIS MA UTILE PER INDIRIZZARE GLI INTERVENTI DELL’INTERNAL AUDITING 67 AT

RISK MANAGEMENT INTERNAL AUDITING Reporting Destinatari Rilievi Suggerimenti Scoring 68 AT

RISK MANAGEMENT INTERNAL AUDITING Reporting Destinatari Rilievi Suggerimenti Scoring 68 AT

RISK MANAGEMENT INTERNAL AUDITING IN AMBITO FINANZIARIO DUE “ALTRE” ATTIVITA’ FONDAMENTALI: VALIDAZIONE MODELLI, PRODOTTI,

RISK MANAGEMENT INTERNAL AUDITING IN AMBITO FINANZIARIO DUE “ALTRE” ATTIVITA’ FONDAMENTALI: VALIDAZIONE MODELLI, PRODOTTI, MODIFICHE PROCEDURALI VALUTAZIONE QUALITATIVA SERVIZI E OPERATORI 69 AT

RISK MANAGEMENT INTERNAL AUDITING è una funzione trasversale a tutte le attività della banca.

RISK MANAGEMENT INTERNAL AUDITING è una funzione trasversale a tutte le attività della banca. Interagisce (e verifica) con altre funzioni della banca contabilità, IT, MIS, FRM, Compliance. e con Audit Committee, Collegio sindacale, Società di revisione. Responsabilità a livello di gruppo. 70 AT

RISK MANAGEMENT INTERNAL AUDITING Piano annuale di auditing Rapporto semestrale per la Vigilanza 71

RISK MANAGEMENT INTERNAL AUDITING Piano annuale di auditing Rapporto semestrale per la Vigilanza 71 AT

RISK MANAGEMENT AUDITING ESTERNO ESSENZIALMENTE VOLTO AD ESPRIMERE UN GIUDIZIO SUL BILANCIO, IN TALUNI

RISK MANAGEMENT AUDITING ESTERNO ESSENZIALMENTE VOLTO AD ESPRIMERE UN GIUDIZIO SUL BILANCIO, IN TALUNI CONTESTI (QUOTAZIONE IN BORSA, ORDINAMENTI GIURIDICI DI ALTRI PAESI) ANCHE SUL SISTEMA DI CONTROLLO INTERNO. 72 AT

RISK MANAGEMENT AUDITING DELLA VIGILANZA OSSERVANZA DEI PRINCIPI DI SANA E PRUDENTE GESTIONE COMPLIANCE

RISK MANAGEMENT AUDITING DELLA VIGILANZA OSSERVANZA DEI PRINCIPI DI SANA E PRUDENTE GESTIONE COMPLIANCE CON LA NORMATIVA E LE AUTORIZZAZIONI MA ANCHE TUTELA DEL CLIENTE 73 AT